[发明专利]分布式认证系统及其认证证书的处理方法、认证方法

说明书

技术领域

本发明涉及通信网络认证技术领域，尤其涉及一种分布式认证系统及认证方法、分布式认证系统中认证证书的处理方法。

背景技术

网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份，以保证通信的安全。

数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。例如，数字证书可以是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。在这种情况下，身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户身份信息可以保证数字信息的不可否认性。

在CA(Certification Authority，证书认证中心)认证体系中，数字证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。

目前，现有认证技术主要是基于CA的集中式认证机制，在这种机制中，CA服务器是集中式的证书颁发机制，即证书颁发都需要经过一个集中式的CA服务器或树状的CA结构进行，颁发的证书都存储在待认证的终端节点端(即终端用户处)，并且在许多情况下需要中心CA服务器的干预，尤其是在基于树状CA链的认证过程中，终端用户需要维持多个CA证书的内容并进行认证。由于该机制中认证依赖于单一的CA服务器，一旦CA服务器出现故障，则无法实现认证功能，因而存在安全性低的问题。

发明内容

本发明所要解决的技术问题是提供一种分布式认证系统，提高认证的安全性。

为解决上述技术问题，本发明提出了一种分布式认证系统，所述分布式认证系统包含多个认证节点，所述认证节点用于处理认证证书申请和对终端用户进行认证。

进一步地，上述系统还可具有以下特点，所述认证节点还用于存储终端用户的认证证书。

进一步地，上述系统还可具有以下特点，所述分布式认证系统以分布式存储方式在各认证节点中存储终端用户的认证证书。

进一步地，上述系统还可具有以下特点，所述分布式存储方式为分布式哈希表方式。

进一步地，上述系统还可具有以下特点，所述分布式认证系统的认证节点中还存储其他认证节点的路由信息。

为解决上述技术问题，本发明还提出了一种认证方法，所述认证由分布式认证系统执行，所述分布式认证系统包含多个认证节点，所述认证节点存储有终端用户的认证证书，则所述认证方法包括：

a1、当终端用户发起某项业务时，分布式认证系统选取一个认证节点X对所述终端用户进行认证；

a2、认证节点X查询到存储有所述终端用户的认证证书的认证节点后，从该认证节点处获取所述终端用户的认证证书；

a3、认证节点X根据所述终端用户的认证证书进行认证。

进一步地，上述方法还可具有以下特点，步骤a1中，所述分布式认证系统选取一个认证节点X对所述终端用户进行认证包括下列步骤：根据所述终端用户的身份标识，选取在地理位置上与所述终端用户最近的认证节点；或者，根据所述终端用户的IP地址，选取在逻辑位置上与所述终端用户最近的认证节点。

进一步地，上述方法还可具有以下特点，所述步骤a2中，所述存储有所述终端用户的认证证书的认证节点为多个，认证节点X根据本认证节点的身份标识，从该多个认证节点中与本认证节点在地理位置上最近的认证节点处获取所述终端用户的认证证书；或者，所述存储有所述终端用户的认证证书的认证节点为多个，认证节点X根据本认证节点的IP地址，从该多个认证节点中与本认证节点在逻辑位置上最近的认证节点处获取所述终端用户的认证证书。

进一步地，上述方法还可具有以下特点，所述步骤a3包括：认证节点X根据所述终端用户的认证证书判断所述终端用户是否具有进行相应业务的权限，若有则允许所述终端用户继续进行相应业务，若无则禁止所述终端用户继续进行相应业务。

为解决上述技术问题，本发明还提出了一种分布式认证系统中认证证书的处理方法，包括：

b1、分布式认证系统接收终端用户申请认证证书的请求，所述分布式认证系统包含多个认证节点；

b2、所述分布式认证系统选取一个认证节点对所述请求进行处理；